Direct naar artikelinhoud
Uber

Uber stak gegevenslek van 57 miljoen gebruikers in de doofpot

Uber stak gegevenslek van 57 miljoen gebruikers in de doofpot
Beeld EPA

Hackers hebben vorig jaar de persoonlijke gegevens van zo'n 57 miljoen gebruikers van taxiplatform Uber gestolen. Het bedrijf verzweeg het lek en betaalde de hackers 85.000 euro om de gegevens te verwijderen en hun mond te houden. 

Uit een rapport van financieel nieuwsagentschap Bloomberg blijkt dat taxiplatform Uber in oktober 2016 werd gehackt door twee personen. Gegevens van zo'n 50 miljoen passagiers en 7 miljoen chauffeurs kwamen daarbij in verkeerde handen terecht. Gebruikers van over de hele wereld zijn bij het lek betrokken.

Volgens het rapport gaat het bij klanten om namen, e-mailadressen en telefoonnummers. Taxichauffeurs zagen naast persoonlijke info ook ongeveer 600.000 Amerikaanse kentekennummers gestolen. Uber benadrukt dat het lek geen socialezekerheidsnummers, rekeningnummers of locatiegegevens betreft.

Maar in plaats van het lek te melden, besloot Uber om het verhaal in de doofpot te steken. Het bedrijf betaalde de hackers 85.000 euro om de gestolen data te verwijderen en met geen woord over het lek te reppen. 

Het is het zoveelste lijk dat uit de kast valt bij Uber. Eerder dit jaar werd het bedrijf geconfronteerd met beschuldigingen van seksuele intimidatie en een rechtszaak voor de vermeende diefstal van fabrieksgeheimen over de zelfrijdende auto van Google. Ook intern rommelde het. Aandeelhouders spanden een rechtszaak aan tegen mede-oprichter en voormalig CEO Travis Kalanick, die in de zomer de deur werd gewezen.

Zijn vervanger Dara Khosrowshahi reageerde ondertussen op het nieuwe schandaal in een e-mail aan Bloomberg. "Geen enkele van deze zaken had mogen gebeuren, en ik ga hier geen uitvluchten voor zoeken. We zijn onze manier van zakendoen aan het veranderen."

Wettelijke meldingsplicht

Ironisch genoeg onderhandelde Uber ten tijde van het incident met de Amerikaanse regulatoren die klachten onderzochten omtrent privacy-inbreuken. Uber vertelt dat het toen wettelijk verplicht was om het lek te melden aan diezelfde regulatoren en ook aan de chauffeurs wier kentekennummers waren gestolen. Zowel de veiligheidsdienst als Kalanick, die een maand nadien op de hoogte zou zijn gebracht, verzaakten daaraan. 

Het nieuws leidde al tot het ontslag van onder meer Joe Sullivan, Ubers hoofd van beveiliging, en enkele medewerkers die meehielpen om het lek geheim te houden. Sullivan arriveerde als veiligheidsexpert bij Uber in april 2015 "om Uber te helpen met het herdefiniëren van veiligheid en gegevensbescherming", schreef CEO Kalanick toen in een blogbericht. Voordien was Sullivan aan de slag bij Facebook in een gelijkaardige functie.

Het bedrijf bracht dinsdag de Amerikaanse autoriteiten op de hoogte. De procureur-generaal van New York start een onderzoek naar de hack, een voorbeeld dat wordt gevolgd door de privacywaakhond in Londen. Aangezien Uber sinds 2014 in Brussel actief is, lijkt het niet ondenkbaar dat ook Belgische gegevens zijn getroffen. De Privacycommissie laat weten daar nog geen zicht op te hebben.